في تطور خطير يسلط الضوء على هشاشة سلاسل التوريد البرمجية، كشف باحثو الأمن السيبراني عن هجوم استهدف سير عمل GitHub Actions الشهير actions-cool/issues-helper، حيث جرى إعادة توجيه العلامات (Tags) المرتبطة بالمستودع إلى تعهدات مزيفة تحتوي على شيفرة خبيثة قادرة على سرقة بيانات الاعتماد من بيئات CI/CD وإرسالها إلى خوادم يسيطر عليها المهاجمون.
مفهوم التعهد المزيف وخطورته
التعهد المزيف هو استراتيجية خبيثة في هجمات سلسلة التوريد، حيث يقوم المهاجم بحقن شيفرة ضارة داخل مشروع عبر الإشارة إلى تعهد أو علامة موجودة فقط في نسخة مملوكة له، وليست جزءاً من المستودع الأصلي الموثوق. هذه التقنية تسمح بتجاوز مراجعات Pull Request التقليدية، ما يمنح المهاجمين قدرة على تنفيذ تعليمات برمجية عشوائية داخل بيئات التطوير دون أن يلاحظ المطورون ذلك في البداية.
تفاصيل الشيفرة الخبيثة وآلية عملها
وفقاً لشركة StepSecurity، فإن التعهد المزيف يحتوي على شيفرة تنفذ سلسلة من الخطوات داخل بيئة GitHub Actions Runner:
- تنزيل بيئة تشغيل Bun JavaScript.
- قراءة الذاكرة من عملية Runner.Worker لاستخراج بيانات الاعتماد.
- إرسال البيانات المسروقة عبر اتصال HTTPS إلى نطاق خارجي خاضع لسيطرة المهاجمين (t.m-kosche[.]com).
كما تبين أن 15 علامة مرتبطة بإجراء آخر هو actions-cool/maintain-one-comment قد تعرضت للاختراق بنفس الأسلوب، ما يوسع دائرة الخطر بشكل كبير.
ارتباط الهجوم بحملة “ميني شاي-هولود”
اللافت أن النطاق المستخدم في عملية التهريب (t.m-kosche[.]com) ظهر أيضاً في موجة هجمات Mini Shai-Hulud التي استهدفت حزم npm ضمن منظومة @antv. هذا التداخل دفع خبراء شركة Socket إلى ترجيح أن الحادثتين مرتبطتان بنفس المجموعة، وليس مجرد حادث منفصل.
هذا يعني أن المهاجمين يستغلون بيئات متعددة في وقت واحد، من npm إلى GitHub Actions، ما يزيد من تعقيد عملية الاستجابة ويضاعف حجم الأثر المحتمل.
التداعيات على المؤسسات والمطورين
بما أن جميع العلامات في المستودع باتت تشير إلى تعهدات خبيثة، فإن أي سير عمل يعتمد على هذه الإجراءات عبر الإشارة إلى الإصدار (Tag) سيقوم تلقائياً بجلب الشيفرة الضارة وتشغيلها في الدورة التالية. وحدها الإجراءات المثبتة على Commit SHA معروف وآمن تبقى بمنأى عن هذا الاختراق.
هذا يضع المؤسسات أمام تحدٍ كبير، إذ أن الاعتماد على العلامات الشائعة دون تثبيت الإصدار الكامل يجعل بيئات التطوير عرضة مباشرة لسرقة بيانات الاعتماد، بما في ذلك مفاتيح الوصول إلى الخدمات السحابية وقواعد البيانات.
